PamStealer: Sahte Maccy Siteleri ve PAM Kontrolleriyle Mac Şifreleri Hedefte

Anasayfa » PamStealer: Sahte Maccy Siteleri ve PAM Kontrolleriyle Mac Şifreleri Hedefte
PamStealer: Sahte Maccy Siteleri ve PAM Kontrolleriyle Mac Şifreleri Hedefte

Mac kullanıcılarını hedef alan yeni bir zararlı yazılım, sahte Maccy web siteleri ve macOS’un Pluggable Authentication Modules (PAM) mekanizmasını kullanarak sistemlere sızıyor ve giriş şifrelerini çalıyor.

Saldırı Zincirinin Anatomisi

Yapılan teknik incelemeler, PamStealer adlı kötü amaçlı yazılımın, meşhur açık kaynaklı pano yöneticisi Maccy’yi taklit eden derlenmiş AppleScript (.scpt) dosyaları aracılığıyla yayıldığını ortaya koydu. İlk aşamada, zararlı yazılımı içeren disk imajı kullanıcının karşısına çıkıyor. Bu imajdaki AppleScript, yerleşik Objective-C API’leriyle çalışan JavaScript for Automation (JXA) tabanlı bir indirme mekanizması işliyor ve Rust dilinde yazılmış ikinci aşama veri hırsızını indiriyor.

İlginç olan, kötü amaçlı AppleScript dosyasının Script Editor’da çalıştırılması için kullanıcıya “⌘ + R” tuş kombinasyonu veya çalıştır butonuna basması isteniyor. Dosya üzerinde görünmez boşluklar altında saklanan zararlı kod bu şekilde aktif hale geliyor. Üstelik, dosya hâlâ macOS’un karantina özelliği (com.apple.quarantine) taşısa bile bu yöntem işleve geçiyor, bu da Apple’ın Gatekeeper ve Terminal güvenlik önlemlerini aşmak isteyen saldırganlar için cazip hale getiriyor.

Hangi Cihazlar Risk Altında?

Apple Silicon tabanlı Mac’ler, bu zararlının ana hedefi. Çünkü Apple Silicon cihazlarda çalışan sistem parmak izi çıkarılıyor; işlemci mimarisi, klavye düzeni, yerel ayarlar ve zaman dilimi gibi parametrelerden türetilen bir anahtar, şifreli konfigürasyon dosyasını çözüyor ve zararlının çalışmasına izin veriyor. Intel tabanlı Mac’lerde ise bu anahtar farklı olduğundan zararlı yükleme işlemi başarısız oluyor.

Ayrıca, zararlı yazılım Rusya, Belarus, Kazakistan, Ermenistan gibi Doğu Avrupa ülkelerine ait zaman dilimi ve yerel ayarları kullanan cihazlarda çalışmayı engelliyor. Bu, bölgesel engelleme yaparak potansiyel analiz ortamlarından ve güvenlik araştırmacılarından kaçınma stratejisi olarak değerlendirilebilir.

Şifre Hırsızlığında Yenilikçi Yöntem

İndirilen ikinci aşama modülü, Finder uygulaması taklidi yapan bir Rust tabanlı Mach-O ikili dosyası. Bu modül, web tarayıcıları, kripto cüzdan uzantıları, iCloud Anahtar Zinciri ve pano içeriği gibi hassas verileri topluyor. Toplanan bilgiler, saldırganların kontrolündeki uzak sunucuya şifrelenmiş şekilde gönderiliyor.

En kritik kısım ise, kullanıcıdan sistem şifresini istemesi. Mac’in native parola istemi taklit edilerek kurbanın şifresi alınmaya çalışılıyor ve girilen şifre macOS PAM API’si kullanılarak yerel doğrulamadan geçiriliyor. Hatalı şifre girilirse kullanıcıdan tekrar denemesi isteniyor. Şifre doğrulandığında ise, kullanıcıya “Maccy hasar gördü ve açılamıyor, çöp kutusuna taşımalısınız” şeklinde gerçek Gatekeeper uyarısına çok benzeyen sahte bir mesaj gösteriliyor. Bu mesaj, kullanıcının zararlıyı silip indirme işleminin başarısız olduğunu düşünmesini amaçlıyor.

Kalıcı Erişim ve Gizlilik Önlemleri

Rust ikili dosyası içinde, macOS Sistem Ayarları taklidi yapan küçük bir arm64 Mach-O dosyası da bulunuyor. Bu bileşen, zararlının sistemde kalıcı hale gelmesi için kullanılıyor. Böylece sistem yeniden başlatılsa bile kötü amaçlı yazılım aktif kalmaya devam ediyor.

Kaynak Uyarıları ve Önleme Önerileri

Maccy’nin geliştiricisi, sahte maccyapp.com ve maccyapp.net gibi web sitelerinden uzak durulması gerektiği konusunda uyarıda bulundu. Resmi site sadece maccy.app olarak belirtiliyor. Bu tür sahte siteler, kötü amaçlı yazılımları yasal yazılımlarmış gibi kullanıcılara sunarak oltalama saldırılarını güçlendiriyor.

Bu gelişmeler, macOS platformunda kullanılan zararlı yazılımların nasıl daha sessiz, yerel API’lerle uyumlu ve tespit edilmesi zor hale geldiğini gösteriyor. Geleneksel antivirüs yöntemlerinin ötesine geçen bu tehditler için, modern EDR çözümleri, ağ segmentasyonu ve düzenli sistem güncellemeleri kritik önem taşıyor.

Teknik Özet ve Siber Güvenlik Ekipleri İçin Kontrollist

Teknik Özet: PamStealer, sahte Maccy web sitesi aracılığıyla bulaşan AppleScript tabanlı dropper ile başlıyor; ardından Rust tabanlı Mach-O modülü devreye giriyor. Saldırı, macOS PAM doğrulamasıyla şifre toplama, tarayıcı ve cüzdan verilerini çalma, ardından verileri şifreleyip uzak sunucuya gönderme adımlarından oluşuyor.

Yöneticiler için Kontrollist:

  • Mac sistemlerinde AppleScript ve JXA aktivitelerini dikkatle izleyin.
  • Gatekeeper ve XProtect güncellemelerini düzenli olarak uygulayın.
  • EDR çözümlerinde Rust tabanlı tehditlere karşı imza ve davranış analizi kuralları oluşturun.
  • Ağ segmentasyonu ile kritik varlıkları izole edin.
  • Kullanıcı eğitimlerinde sahte web siteleri ve sosyal mühendislik saldırılarına dikkat çekin.
  • macOS PAM tabanlı kimlik doğrulama süreçlerini loglayın ve anormal erişimleri inceleyin.
  • Çok faktörlü kimlik doğrulamayı (MFA) mümkün olduğunca zorunlu hale getirin.
  • İndirilen AppleScript dosyalarının çalışma izinlerini kısıtlayın ve karantinaya alınan dosyaların açılması konusunda kullanıcıları bilgilendirin.